Кто-то жрёт траффик

Смотрю сайт линксом - всё нормально. Значит, проблема либо во флеше либо в жабаскрипте. Пойду искать.

Попробуй удалить adobe flash совсем и все потенциальные проприетарные программы.

Снёс флеш. Не помогает. Жабаскрипт тоже отключал - тоже не помогает. Вот так параноиками и становятся. Очевидно, что что-то связано с браузером, но что, если не жс и не флеш?

Заблокируй этот IP на файрволе и посмотри, что будет.

но что, если не жс и не флеш?

Какой-нибудь iframe... попробуй что ли для начала перезагрузиться и поработать на свежезагруженной в смысле системе, не заходя в браузер. Потом попробуй не заходить на сайт.

Далее, попробуй скачать какой-нибудь LiveCD, например банально убунту, зайти браузером на тот сайт, поковырять его как обычно и закрыть, наверняка тоже останутся time wait соединения.

А трафик может идти вроде как и без согласия твоего компа. Единственное что владелец настораживает.

попробуй что ли для начала перезагрузиться и поработать на свежезагруженной в смысле системе, не заходя в браузер. Потом попробуй не заходить на сайт.

Соединения появляются только после того, как откроешь в браузере злополучный сайт и затем висят, даже когда все браузеры закрыты.

попробуй скачать какой-нибудь LiveCD, например банально убунту, зайти браузером на тот сайт, поковырять его как обычно и закрыть, наверняка тоже останутся time wait соединения.

Сейчас проверю.

А трафик может идти вроде как и без согласия твоего компа.

Да и пусть бы шёл себе на здоровье, но не 2.5 же гигабайта в день.

Далее, попробуй скачать какой-нибудь LiveCD, например банально убунту, зайти браузером на тот сайт, поковырять его как обычно и закрыть, наверняка тоже останутся time wait соединения.

Я поковырял, не знаю, как ТС ковыряет «обычно», но у меня все норм. Флеш, джава-скрипты и пр. включено.

ТС ты там логинишься?

запрети порты и всё. Юзер - пользующий это гуано - ССЗБ

ТС ты там логинишься?

Там форум на ipBoard. На нём - да.

Обновил флеш до последней версии - всё стало нормально. не знаю почему он при
[code]pacman -Syu[/code]
не обновлялся, но версия была довольно старая. Всем отписавшимся спасибо за помощь, а тем, кто столкнётся - проверте флеш. Нужно было с этого начинать. Ещё раз спасибо.

Обновил флеш до последней версии - всё стало нормально. не знаю почему

[всем ЛОРом]Потому что РЕ-ШЕ-ТО[/всем ЛОРом]

Там точка в середине =) Про то, что флеш - решето, любой знает, а вот почему его пакман не обновлял - понятия не имею.

Там точка в середине

Знаю, но пришлось проигнорировать иначе не смотрелось бы. =)

вот почему его пакман не обновлял - понятия не имею.

УМВР.

[root@myhost mopsene]# pacman -Ss flash
extra/flashplugin 11.1.102.55-1 [установлен]
    Adobe Flash Player

Обновил флеш до последней версии - всё стало нормально. не знаю почему он при

Ты же сказал, что полное удаление флеша не помогло

а тем, кто столкнётся - проверте флеш.

Ага, проверить, и если есть, тщательно удалить (ключ --purge)

Оценил трафик - пересылаются пакеты по 66 байт.

Судя по трафику, там данные не бегают, для всех пакетов length=0 (в том месте, где данные должны быть), возможно, что-то пересылается в служебных заголовках IP или TCP (которые и занимают порядка 60-ти байт). Трафик возникает в результате пакетов, типа tcp keep alive, причем инициатором является сервер (клиент всегда моментально отвечает на пакет, пришедший с сервера), но такие параметры keepalive неестественны. Возможно, это вовсе не keepalive. В любом случае, я бы составил список пакетов, которые установлены пакетным менеджером и переставил их все (для начала) и перегрузился. Если есть пакеты, установленные не пакетным менеджером, тогда сложнее. Далее, если активность останется, полезно составить список файлов, которые не принадлежат какому-либо пакету и проверить их на наличие подозрительных скриптов. Если это все не спасет, то просто переставить систему (возможно быстрее будет с этого начать). Сохранить полезно лишь /etc и /home/penguin, но после установки свежей системы нужно будет внимательно посмотреть содержимое файлов, перед их копированием обратно (/home скопировать полезно почти полностью, а /etc только то, что сам правил когда-либо).

А вообще, полезно написать владельцам того сервера (с нужным IP) с просьбой помочь разобраться, что за подозрительный трафик идет в ответ на запросы их сервера. Также полезно будет упомянуть, что внедрение вредоносного кода - уголовное преступление и большой разницы нет они организаторы или только соучастники.

Ты же сказал, что полное удаление флеша не помогло

Сам ничего не понимаю.Возможно это были хромовские соединения, которые ещё не умерли, а я недостаточно подождал?

кто столкнётся - проверте флеш

У меня даже на винде флеш не установлен.

Возможно это были хромовские соединения, которые ещё не умерли, а я недостаточно подождал?

У хрома, вроде свой флеш, который идет вместе с ним.

Удали опять...

И если не будет, то поставь старую версию, зайди на сайт чтоб появились соединения и удали флеш, а потом посмотри сразу и через время.

жаба апплет

У хрома - да, у хромиума - нет.

Какой-нибудь iframe...

вот это фейл

Ага, проверить, и если есть, тщательно удалить (ключ --purge)

судя по комментарию про ифрейм, ты себе уже голову тщательно удалил. не все должны быть фанатиками как ты.

Удалил. Открыл сайт, закрыл. Соединения висят. Трафик идёт. Закрыл браузер, подождал минуту. Соединения висят.
Что-то я вообще ничего не понимаю. Совпадение?
Старую версию флеша не помню.

Без флеша - висят. Со старым флешем - тоже. С новым флешем - всё нормально. По крайней мере было те 2 раза, что я проверял. Не может такого быть, наверное я что-то напутал.

судя по комментарию про ифрейм

iframe со скриптом который загружается с другого сайта и не заблокировался?
А вообще, зачем ты придираешься к словам? При мозговом штурме это не принято.

Эх, рано радовался. Поставил флеш - то же самое. Простите за дезинформацию, просто такое вот неудачное совпадение. И с новым флешем висят зомби, и трафик идёт.

В любом случае, я бы составил список пакетов, которые установлены пакетным менеджером и переставил их все (для начала) и перегрузился. Если есть пакеты, установленные не пакетным менеджером, тогда сложнее.

Это нереально. Да и в процессах вроде ничего лишнего нету.

Администрации напишу, но я уверен, они заявят, что у них всё работает и проблема на моей стороне.

Это нереально. Да и в процессах вроде ничего лишнего нету.

Ты с LiveCD другого дистрибутива пробовал? Если нет, то попробуй.

Переустанавливать все пакет до этого шага, конечно, излишне.

Хотя как вариант, попробовать установить для теста другую копию арча ещё можно.

Ты с LiveCD другого дистрибутива пробовал? Если нет, то попробуй.

Диск найти не могу, а качаться оно всю ночь будет. Так что, если и расскажу о резульатах, то только завтра.

Я вот весь тред перечитывать не хочу поэтому спрошу - ты браузер другой пробовал? Извини, если повторяю кого-нибудь.

Да. Файрфокс и линкс. В линксе всё нормально, а вот с Файрфоксом только ещё больше процессов.

А от тестового пользователя? (если процессов нет, то с чистым ~/.mozilla?)

Что значит «от тестового пользователя»? От того-же. Перед каждой проверкой перезагружался и перед запуском браузера ничего не запускал. Или вы предлагаете создать нового пользователя и проверить от него?

если процессов нет, то с чистым ~/.mozilla

Нет, не чистил, но до этого мозиллой не пользовался. Могу почистить и проверить, но сомневаюсь, что это что-то даст.

useradd -m test; passwd test

и зайди на этот сайт иp этой учётки

вот - та же фигня. Это после минуты после закрытия браузера под абсолютно новым пользователем (создал, запилил бокс, вошёл, проверил). Трафик проверить не удалось, но, думаю, раз процессы висят - трафик должен идти.

Проверь, есть ли какие аномальные файлы в ~/, ищи и в подкаталогах. мож что будет

и ещё lsof /home

Как определялось, что браузер закрыт?

iframe со скриптом сдохнет после закрытия браузера
извини за грубость кстати

с установленным flashblock проблема остается?

Да.

Загрузился с LiveCD Ubuntu 11.10. Соединения остаются с точно такими-же симптомами, но они исчезают спустя 30-40 секунд после закрытия браузера. А у меня 3-6 таких соединений могут жить до ребута, сжирая трафик.

Ну значит это скорей всего баг твоей версии ядра (я так понимаю, после завершения процесса, соединения передаются ядру) или настроек iptablesю

Покажи вывод iptables-save, попробуй загрузиться с какими-нибудь другими ядрами (например можно взять vmlinuz от убунты)

iptable не при чём - я его только вчера вечером поставил.
Не хочу ипаться с убунтовским ядром - подожду 3.2. Или в кеше посмотрю - там, кажется 3.1.5-1 осталось.

Вау. Откатился до 3.1.5-1 - соединения пропадают спустя минуту. Два раза проверил. Спасибо за помощь, посмотрим, что будет в 3.2.

iptable не при чём - я его только вчера вечером поставил.

netfilter всё равно в ядре, iptables — это только утилита для его настройки. Так что всё-таки посмотри iptables-save

есть ещё настройки маршрутизации.

Откатился до 3.1.5-1 - соединения пропадают спустя минуту. Два раза проверил. Спасибо за помощь, посмотрим, что будет в 3.2.

Ну значит баг, вестимо.

Кстати, у меня было тоже подозрение на руткит, а оказалось, что это всего лишь vte временные файлы юзает.